Las medidas de ciberseguridad suelen centrarse en las amenazas procedentes del exterior de una organización, más que en las amenazas planteadas por personas no fiables dentro de la misma. Sin embargo, las amenazas internas son el origen de muchas pérdidas en los sectores de infraestructuras críticas. Además, los insiders bien publicitados han causado daños irreparables a los intereses de la seguridad nacional. Una amenaza interna se define como la amenaza de que un empleado o un contratista utilice su acceso autorizado, consciente o inconscientemente, para hacer daño a la seguridad de los Estados Unidos. Aunque las violaciones de la política pueden ser el resultado de un descuido o un accidente, el objetivo principal de este proyecto es prevenir acciones deliberadas e intencionadas como la explotación maliciosa, el robo o la destrucción de datos o el compromiso de redes, comunicaciones u otros recursos de tecnología de la información. El proyecto sobre amenazas internas de la Dirección de Ciencia y Tecnología del Departamento de Seguridad Nacional (DHS) (S&T) está desarrollando una agenda de investigación para reducir agresivamente los elementos de este problema.
Motivación
Cada vez más, los casos de amenazas internas y las filtraciones de datos de alto perfil ilustran la necesidad de contar con sólidos programas de amenazas internas en las organizaciones. El número de ataques infames y perjudiciales contra el gobierno ilustra que la amenaza que suponen las personas de confianza es significativa. Esta amenaza continuará creciendo a medida que el aumento del intercambio de información resulte en un mayor acceso y distribución de información sensible.
Enfoque
Para hacer frente a la creciente preocupación de las amenazas internas, este proyecto busca soluciones de R&D más avanzadas para proporcionar las capacidades necesarias para abordar seis áreas.
- Recoger y analizar (monitorización)
- Detectar (proporcionar incentivos y datos)
- Disuadir (prevención)
- Proteger (mantener las operaciones y la economía)
- Predecir (anticiparse a las amenazas y ataques)
- Reaccionar (reducir la oportunidad, la capacidad y la motivación y la moral del infiltrado)
Los beneficiarios de esta investigación van desde los organismos de seguridad nacional que operan los sistemas más sensibles o clasificados hasta los funcionarios de seguridad nacional que necesitan compartir información sensible pero no clasificada/controlada y hasta la sanidad, las finanzas y muchos otros sectores donde se gestiona información sensible y valiosa. En muchos sistemas, como los que operan infraestructuras críticas, la integridad, la disponibilidad y la supervivencia total del sistema son de máxima prioridad y pueden verse comprometidas por personas con información privilegiada.
Perfecto
Universidad de Texas San Antonio: Lightweight Media Forensics for Insider Threat Detection
Este esfuerzo está desarrollando métodos novedosos para detectar amenazas internas a través del comportamiento de almacenamiento a nivel de disco y cómo el comportamiento de un individuo difiere del comportamiento anterior y/o del de sus compañeros de organización. Los enfoques actuales se basan en reglas/firmas y buscan patrones que coincidan con ataques anteriores. El análisis del comportamiento de almacenamiento a nivel de disco con un agente forense de medios ligeros proporcionará una mirada más profunda al comportamiento del usuario en busca de indicadores e identificará proactivamente las amenazas potenciales.